Sans fil : Cisco Wireless LAN Controller Software

Localement - Certificats significatifs (LSC) avec WLC et exemple de configuration des Windows Server 2012

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer localement - les Certificats significatifs (LSC) avec un contrôleur LAN Sans fil (WLC) et une Microsoft Windows Server nouveau-installée 2012 R2.

Remarque: Les vrais déploiements pourraient différer à beaucoup de points et vous devriez avoir le plein contrôle et la connaissance des configurations sur la Microsoft Windows Server 2012. Cet exemple de configuration est seulement donné comme un modèle de référence pour des clients de Cisco pour implémenter et adapter leur configuration de Microsoft Windows Server afin de faire le travail LSC.

Contribué par Manchur romain et Nicolas Darchis, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Vous devriez comprendre chaque changement fait de Microsoft Windows Server et vérifier la documentation Microsoft appropriée si nécessaire.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 7.6 WLC
  • Microsoft Windows Server 2012 R2

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Configuration de Microsoft Windows Server

Cette configuration est affichée comme exécuté sur une Microsoft Windows Server nouveau-installée 2012. Vous devez adapter les étapes à votre domaine et à votre configuration.

  1. Installez les services de domaine de Répertoire actif pour les rôles et comportez l'assistant.



    1. Après installation, vous devez promouvoir le serveur au contrôleur de domaine.



    2. Puisque c'est une nouvelle installation, vous configurez une nouvelle forêt ; mais typiquement dans les déploiements existants, vous configurez simplement ces points sur un contrôleur de domaine existant. Ici, vous choisissez le domaine de LSC2012.com. Ceci lance la caractéristique de Domain Name Server (DN) aussi bien.


  2. Après qu'une réinitialisation, installent l'inscription de service aussi bien que de Web d'Autorité de certification (CA).



    1. Configurez-les.



    2. Choisissez l'entreprise CA et laissez tout en tant que par défaut.



  3. Cliquez sur Microsoft Windows/menu de démarrage.

    1. Outils d'administration de clic.
    2. Utilisateurs et ordinateurs de Répertoire actif de clic.
    3. Développez le domaine, cliquez avec le bouton droit le répertoire d'utilisateurs, et choisissez le nouveaux objet > utilisateur.



    4. Dans cet exemple, c'est nommé APUSER. Une fois que créé, vous devez éditer l'utilisateur et cliquer sur l'onglet de MemberOf, et lui faites un membre du groupe IIS_IUSRS.


  4. Installez le service d'inscription de périphérique de réseau (NDES).



    • Choisissez le membre de compte du groupe IIS_USRS, APUSER dans cet exemple, comme le service expliquent NDES.


  5. Naviguez vers des outils d'administration.

    1. Internet Information Services de clic (IIS).
    2. Développez le site Web de serveur > de sites > de par défaut > le CERT Srv.
    3. Pour le mscep et le mscep_admin, authentification de clic. Assurez-vous que l'authentification anonyme est activée.
    4. Cliquez avec le bouton droit l'authentification de fenêtres et choisissez les fournisseurs. Assurez-vous que le LAN Manager de NT (NTLM) est premier dans la liste.


  6. Désactivez le défi d'authentification dans les paramètres de registre, autrement l'inscription de certificat simple Protocol (SCEP) s'attend à l'authentification de mot de passe de défi, qui n'est pas prise en charge par le WLC.

    1. Ouvrez l'application de regedit.
    2. Allez à HKEY_LOCAL_MACHINE \ à LOGICIEL \ à MICROSOFT \ chiffrement \ MSCEP \.
    3. Placez EnforcePassword à 0.



  7. Cliquez sur Microsoft Windows/menu de démarrage.

    1. Type MMC.
    2. Sur le menu File, choisissez l'ajout/suppression SNAP-dans. Choisissez l'autorité de certification.
    3. Cliquez avec le bouton droit le répertoire de modèle de certificat et le clic gèrent.
    4. Cliquez avec le bouton droit un modèle existant, tel que l'utilisateur, et choisissez le modèle en double.

    5. Choisissez le CA pour être Microsoft Windows 2012 R2.
    6. Sur l'onglet Général, ajoutez un nom d'affichage tel que WLC et une période de validité.
    7. Dans l'onglet de nom du sujet, confirmez cet approvisionnement dans la demande est sélectionné.

    8. Cliquez sur les conditions requises d'émission que tableau Cisco recommande que vous laissiez le blanc de stratégies d'émission dans un environnement hiérarchique typique CA :

    9. Cliquez sur l'onglet d'extensions, des stratégies d'application, et puis l'éditez. Cliquez sur Add, et assurez-vous que l'authentification client est ajoutée comme stratégie d'application. Cliquez sur OK.

    10. Cliquez sur l'onglet Sécurité, et puis ajoutez…. Assurez-vous que le compte des services SCEP défini à l'installation de service NDES a le plein contrôle du modèle, et puis cliquez sur OK.

    11. Revenez à l'interface gui d'autorité de certification. Cliquez avec le bouton droit le répertoire de modèles de certificat. Naviguez vers nouveau > modèle de certificat à émettre. Sélectionnez le modèle WLC configuré précédemment, et cliquez sur OK

    12. Changez le modèle du par défaut SCEP dans les paramètres de registre sous l'ordinateur > le HKEY_LOCAL_MACHINE > le LOGICIEL > le Microsoft > le chiffrement > le MSCEP. Changez les clés d'EncryptionTemplate, de GeneralPurposeTemplate, et de SignatureTemplate d'IPsec (demande hors ligne) au modèle WLC précédemment créé.

    13. Redémarrez le système.

Configuration WLC

  1. Sur le WLC, naviguez vers le menu Security. Le clic délivre un certificat > LSC.

  2. Vérifiez l'enable LSC sur la case à cocher de contrôleur.

  3. Écrivez votre URL de la Microsoft Windows Server 2012. Par défaut, il est ajouté avec /certsrv/mscep/mscep.dll.

  4. Écrivez vos détails dans la section de params.

  5. Appliquez la modification.



  6. Cliquez sur la flèche bleue sur la ligne supérieure CA et choisissez ajoutent. Il devrait changer l'état de non actuel pour présenter.

  7. Cliquez sur l'onglet Préconfiguration AP.



  8. Vérifiez la case à cocher d'enable sous le ravitaillement AP et cliquez sur la mise à jour.

  9. Redémarrez vos Points d'accès s'ils ne se sont pas redémarrés.

Vérifiez

Le Point d'accès, après réinitialisation, se joint de retour et des affichages avec le LSC pendant que le certificat saisissent le menu Sans fil.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118838